Um novo software de phishing e sequestro de SMTP baseado em Python chamado 'Legion' está sendo vendido no Telegram e tem como alvo serviços de e-mail online para ataques de spam.
A Legion é vendida por cibercriminosos que usam o nome "Forza Tools" e operam um canal no YouTube com tutoriais e um canal no Telegram com mais de mil membros.
A Legion é um malware modular que, segundo a Cado, provavelmente é baseado no malware AndroxGhOst e possui módulos para realizar enumeração de servidor SMTP, execução remota de código, explorar versões vulneráveis do Apache, força bruta de contas cPanel e WebHost Manager, interagir com a API do Shodan e abusar dos serviços da AWS.
A ferramenta visa roubar credenciais de muitos serviços, incluindo Twilio, Nexmo, Stripe/Paypal (função de API de pagamento), credenciais do console da AWS, AWS SNS, S3 e SES específicos, Mailgun e plataformas de banco de dados/CMS.
Além de extrair credenciais e invadir serviços da web, a Legion também pode criar usuários administradores, implantar webshells e enviar spam SMS para clientes de operadoras dos EUA.
A Legion geralmente tem como alvo servidores web desprotegidos que executam sistemas de gerenciamento de conteúdo (CMS) e frameworks baseados em PHP, como o Laravel, usando padrões RegEx para procurar arquivos conhecidos por conter segredos, tokens de autenticação e chaves de API.
A ferramenta usa uma variedade de métodos para recuperar credenciais de servidores web mal configurados, como visar arquivos de variáveis de ambiente (.env) e arquivos de configuração que podem conter credenciais SMTP, AWS console, Mailgun, Twilio e Nexmo.
Além de tentar obter credenciais da AWS, a Legion também possui um sistema de força bruta para adivinhá-las.
No entanto, a Cado comenta que é estatisticamente improvável que este sistema possa gerar credenciais utilizáveis em seu estado atual.
Uma função semelhante é incluída para forçar a entrada de credenciais SendGrid.
Independentemente de como as credenciais são obtidas, a Legion as usará para obter acesso a serviços de e-mail e enviar spam ou phishing.
Se a Legion capturar credenciais da AWS válidas, ela tentará criar um usuário IAM chamado 'ses_legion' e definir a política para dar a ele direitos de administrador, dando ao usuário mal-intencionado acesso total a todos os serviços e recursos da AWS.
A Legion também pode enviar spam SMS aproveitando as credenciais SMTP roubadas após gerar uma lista de números de telefone com códigos de área recuperados de serviços online.
As operadoras suportadas pelo malware incluem AT&T, Sprint, US Cellular, T-Mobile, Cricket, Verizon, Virgin, SunCom, Alltel, Cingular, VoiceStream e outras.
Finalmente, a Legion pode explorar vulnerabilidades conhecidas do PHP para registrar um webshell no ponto final de destino ou executar código remoto para dar ao atacante acesso total ao servidor.
Em conclusão, a Legion é uma ferramenta de hacking e roubo de credenciais de uso geral que está ganhando tração no mundo do crime cibernético, aumentando o risco para servidores web mal gerenciados e mal configurados.
Os usuários da AWS devem procurar sinais de comprometimento, como alterar o código de registro do usuário IAM para incluir uma tag "Owner" com o valor "ms.boharas".
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...